Foro

Avatar de colosoderodas
colosoderodas
Más integrado que la RDSI
26-12-2023
Resuelto

Apertura de puertos externos 80 y 443

Hola. Recientemente me han instalado el router GPT-2741GNAC con la versión de firmware ES_g7.9_110WVI0b36. Tengo un pequeño servidor doméstico en casa, por lo que necesito mapear los puertos 80 y 443...
  • Avatar de colosoderodas
    colosoderodas
    29-12-2023

    Gracias Theliel por la respuesta tan rápida viniendo de un usuario, ya he visto algunas otras respuestas tuyas en este foro. El hecho de exponer los puertos 80 y 443 para tener un servidor bien doméstico no es ninguna barbaridad si su seguridad es correcta, gracias a un servidor con un puerto 443 expuesto a internet podemos estar teniendo esta conversación ahora mismo 🙂. En cualquier caso, gracias por la advertencia.

     

    Finalmente conseguí acceder sin necesidad de un mapeo interno tras deshabilitar la asistencia remota mediante puertos 80 y 443. También borré el mapeo de puertos de la interfaz básica y los volví a añadir desde la avanzada, no sé si afectó de alguna forma.

     

    El servidor web del router y el de mi servidor doméstico conviven sin problema en la misma subred. Al no estar expuestos los puertos 80 y 443 del router a internet, el NAT funciona sin problema, no hay relación con que el router también use estos puertos.

Avatar de Theliel
Theliel
Yo probé el VDSL
29-12-2023

Buenas colosoderodas 

 

Si, como te decía se pueden cambiar o al mapearlos dependiendo del HGU los cambia automáticamente.

 

En cuanto a la seguridad, sí, es un problema, si partimos de la base de que todo comienza con un equipo doméstico que instalan los ISP. En un entorno doméstico ni los usuarios tienen conocimientos ni los equipos necesarios para protegerse de Internet. Además, lo que dices que gracias al puerto 443 puedes mantener esta conversación tampoco es cierto, porque con independencia de lo que uses para ello, el puerto podría ser arbitrariamente cualquier otro y la seguridad de base sería mucho mayor.

 

En cualquier caso me alegro lo tengas solucionado.

Avatar de colosoderodas
colosoderodas
Más integrado que la RDSI
29-12-2023
En un entorno doméstico ni los usuarios tienen conocimientos ni los equipos necesarios para protegerse de Internet.

No está mal como regla general, pero asumir que los usuarios no tienen los conocimientos necesarios y responderles con un "no se puede abrir los puertos" (no siendo esto cierto) no es una buena filosofía general. Como poder se puede, simplemente hay que hacer consciente al usuario de que si lo van a hacer necesitan unas nociones avanzadas de cómo adquirir y configurar el equipamiento necesario para evitar ataques de DNS spoofing, denegación de servicio, CVEs en su router si no tiene el firmware especializado... en fin, que si lo haga sepa a qué se expone.

 

Además, lo que dices que gracias al puerto 443 puedes mantener esta conversación tampoco es cierto, porque con independencia de lo que uses para ello, el puerto podría ser arbitrariamente cualquier otro y la seguridad de base sería mucho mayor.

Entiendo que te refieres a que si esta web estuviera en un puerto como comunidad.movistar.es:62185 no sería objeto de los ataques automáticos que peinan todo IPv4 en busca de puertos comunes con vulnerabilidades. Aunque eso aportaría cierta seguridad extra, volver así de complejas las URLs atenta contra los usuarios, sobre todo cuando hay formas más sencillas de volver la combinatoria mucho más compleja para los escáneres automáticos, empezando por usar IPv6, que no suponen ninguna complicación extra a la hora de escribir las URLs.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    30-12-2023

    Buenas colosoderodas 

     

    Yo no he dicho en ningún momento que no se puedan usar dichos puertos, he dicho que el Router por defecto usa esos puertos para sí mismos, y que de echo todos los HGU permiten de un modo u otro usarlos. Y que esto tampoco se hace con la seguridad en mente por parte de Movistar, simplemente es que el propio Router los usa para sí mismo. Algunos de los HGU tienen una sección específica para ello, y otros lo cambian directamente por uno diferente.

     

    Y sí, obviamente al final es avisar, luego cada uno en casa haga lo que estime, por supuesto. De echo es el pan nuestro de cada día por aquí, de no pocos usuarios que usan su propio Router (yo mismo uso mis propios equipos). Y esto no es malo "per se", es malo cuando dichos usuarios, generalmente no avanzados, simplemente siguen un paso a paso que les ha dicho otro o leído en otro lado con supuestas esperanzas mágicas para lograr X, y que terminan con toda la red dada la vuelta. Otro ejemplo de esto es lo fructífero que están siendo los ataques indiscriminados de ramsonware y control a NAS domésticos, porque se pusieron de moda hace unos dos años, siguen estando de moda, y los dejan totalmente expuestos a internet, servicios conocidos, exploits que encuentran y Bingo, fiesta. Como recomendación digo siempre lo mismo, al igual que explico como cambiarlos, ahora, cada cual verá que hace en su casa :).

     

    -------

     

    Usar puertos cualesquiera, que no sean conocidos y a poder ser puertos altos, no aporta solo una cierta seguridad, de echo filtra más del  99% de los ataques indiscriminados, que a fin de cuenta son igualmente más del 99.99% que uno va a sufrir en su red. Esto igualmente se puede comprobar de un modo muy sencillo cualquiera que tenga un router propio o sepa acceder a la Shell interna de los HGU, y crear una simple regla iptables para loggear los paquetes dirigidos a uno u a otro, o incluso sencillamente con un honeypot.

     

    Sí, por supuesto un usuario mal intencionado o una red zombi podría ir dedicándose a escanear todos los puertos de un dispositivo, pero esto tiene muchos muchos muchos problemas:

     

    a) Tiempo. No es viable, 65535 puertos a través de internet puede llevarse un tiempo considerable para un solo dispositivo. Esto puede ser factible en objetivos concretos, pero nada más.

    b) Tal repetición hace saltar la protección a día de hoy de cualquier Firewall mínimamente decente en cualquier Router.

     

    Simplemente eso no se hace, lo que se hace por lo general es hacer escaneos muy concretos y selectivos, dependiendo de cuales son los objetivos. Por ejemplo, si tienen un a vulnerabilidad de día cero para Home Assistant, van a buscar tan solo el puerto 8123 de forma masiva, para ellos no es rentable ni efectivo escanear los 65535. Además, esto ni llama la atención ni suele hacer saltar alarmas. Y esto obviamente lo saben.

     

    Aunque pueda parecer una tontería, animo a cualquiera con conocimientos que monten un honeypot o un Router que tengan una buena gestión sobre el, se pueden caer de espaldas. Y esto lo vemos de forma constante hacia puertos habituales y que suelen ser "jugosos", como 3389, 80, 443, 22, 21, 8080, 8123...

     

    Por otro lado, dices que esto puede ser un problema por la mayor complejidad de las direcciones. No lo es realmente. Esto que digo se implementa de casi casi inmediata, no requiere ningún Router especial y solo conocimientos básicos. Simplemente es cambiar el puerto externo del Router, nada más. Sí, ahora dependiendo del servicio hay que especificar el puerto, pero estamos hablando de un uso doméstico y residencial, donde dicha URL o servicio a configurar las va a usar fundamentalmente uno en la casa, o dos, o 3-4 amigos, que no más, y la única diferencia es, en todo caso, poner midominio.es:62123. Una molestia mínima para cualquier usuario.

     

    No digo que esto sea lo ideal ni mucho menos para entornos donde tienen que estar funcionado 24/7 y son públicos. Pero es que cuando se requiere ese grado de exposición no tiene mucho sentido usar los equipos del ISP para empezar

     

    Sobre IPv6, en sí mismo puede ser un problema y muy importante de seguridad. Te pongo un ejemplo sencillo con la red móvil.

     

    Movistar ya terminó de desplegar por ejemplo IPv6 en su red móvil, con doble pila. Y sí, nos asignan una IPv6 pública totalmente enrutable. Y esto para un móvil/tablet lejos de ser una ventaja puede ser un problema muy gordo. Dado que el uso de IPv6 aun es marginal, la inmensa mayoría de dispositivos no están preparados en cuanto a seguridad se refiere para estar expuestos completamente a Internet. Con IPv4 no tenemos ese problema, de echo el uso de CGNAT ha protegido a innumerables dispositivos. Pero con IPv6 si estamos expuestos, y repito, esto es un problema.

     

    El uso de IPv6 en la inmensa mayoría de dispositivos móviles/tablets  causa varios problemas importante:

     

    1º. El Dispositivo tiene expuestos a Internet servicios que nunca debería de tener expuestos. Esto es debido a que la inmensa mayoría no poseen un FW real preparado para esto. Por ponerte un ejemplo sencillo, hace ya algunos años, a modo de prueba de concepto, escribí sobre lo sencillo que me había sido poner en jaque y tener acceso a miles de dispositivos iPhone, simplemente empezando por buscar en toda la red móvil de Movistar un par de puertos concretos de estos. Al estar expuestos a Internet de forma directa, tenía control completo de ellos.

     

    2º. Al estar expuesto directamente a Internet, el dispositivo está recibiendo ruido desde Internet constantemente, lo que hace que el dispositivo se esté despertando mucho más frecuentemente, haciendo que el consumo de batería sea sensiblemente mayor. Quien quiera comprobar esto de forma simple, que configure en su movil el APN alternativo de Movistar que no usa CGNAT, verá el incremento tan enorme de batería.

     

    -------------

     

    Es cierto que dar con una dirección IPv6 se antoja algo más complicado, pero no lo es. Cada web, servicio, aplicación... vamos dejando nuestro rastro. De echo hasta hace dos días prácticamente me era casi automático lograr la IP real de quien fuese por Whatsapp.

     

    También se podría evitar con un FW real, pero a día de hoy esto no es posible en terminales iOS/Android, a menos que lo tengas Jailbreak con un FW real, o Rooteado con un FW real. Ambos se antojan complicado para la inmensa mayoría de usuarios. Y para colmo de males, al menos en Android puedes deshabilitar IPv6 en el APN a voluntad, en iOS es harto más complicado, requieres de un configurador externo, crear el perfil, cargarlo en el teléfono...

     

    Por otro lado, también es totalmente inútil este proceder, a día de hoy es absolutamente necesario IPv4, de ahí a que usemos doble pila. Así que a menos que sacrificases IPv4 y usar tan solo IPv6, usas tb de forma simultánea IPv4, y lo normal es que los servicios estén levantados por la misma razón en ambos protocolos, con lo que no ganas mucho que digamos.

     

    --------

     

    En cualquier caso, y a modo de curiosidad simplemente, te invito a configurar en tu red un honeypot si no tienes posibilidad de acceder internamente al Router, lo dejes funcionando unos días, y eches un ojo... la diferencia es abrumadora.

     

    No, no es una solución ni mucho menos impenetrable, pero de facto filtra casi todo mal. Si a eso le añades por ejemplo un filtrado regional...

     

    Saludos.

    • Avatar de Técnico-Movistar
      Técnico-Movistar
      Responsable Técnico
      03-01-2024

      Hola colosoderodas 

       

      No hemos tenido respuesta tuya en unos días, entendemos que no tienes ninguna consulta más por lo que cerramos este hilo. Si no es así, o tienes cualquier duda/incidencia estamos a tu disposición. 

       

      Un saludo.

       

      María José

      • Avatar de colosoderodas
        colosoderodas
        Más integrado que la RDSI
        12-02-2025

        Al final lo solucioné reconfigurando las interfaces por mi cuenta.

         

        Decidí no seguir la discusión con Theliel porque se estaba haciendo muy larga, pero en resumen: decirle a los usuarios que no usen el puerto 80 y el 443 es absurdo sin conocer cada caso. Literalmente para leer esta conversación estáis usando esos puertos. Simplemente es cuestión de que quien lo quiera usar sepa cómo gestionar la seguridad de sus dispositivos. Llevo 15 años con un servidor web doméstico abierto sin problema.

         

        Saludos